发言摘要:最近几年,随着国内外各类信息安全事件以及《网络安全法》、欧盟的通用数据保护条例GDPR以及各国陆续出台的个人数据保护法,个人信息的保护达到前所未有的高度。本次分享主要关注民航旅客的个人信息安全方面的一些思考和业界实践。
首先从民航业相关的信息安全事件以及民航业的数字化转型大背景出发,剖析民航旅客个人信息安全面临的挑战--旅客个人信息泄露、旅客个人信息滥用、威胁国家安全等。接下来剖析旅客个人信息保护的一些实践。建立健全完备的信息安全架构,重点关注数据安全领域。对民航旅客服务系统中的旅客个人信息进行识别、标识、分级分类;根据GDPR、27791、CSDL、数据安全成熟度模型等对涉及旅客个人信息的系统进行系统安全评估;针对评估结果,对系统进行安全加固,包含敏感数据处理、访问权限控制、网络安全建设、共享安全服务建设等等,还包括如何应对外部合规化需求工作。最后谈信息安全治理的一点体会,就是民航旅客个人信息保护是一个系统工程,各类保护措施要联动:信息安全要平台化发展、工具要集成化、安全服务要共享便于安全策略的升级、安全管理和数据安全管理以及研发流程都要生命周期化流程化。